Feststellen, ob eine Site Kennwörter als Nur-Text speichert (und was zu tun ist)
Werbung
Wann immer Sie sich auf einer Website registrieren, vertrauen Sie diesen Ihre persönlichen Daten an. Sie haben mindestens Zugriff auf Ihre E-Mail-Adresse und wahrscheinlich noch viel mehr - natürlich auch auf Ihr Passwort.
Aber wie können Sie feststellen, ob die Site Ihre privaten Daten ordnungsgemäß verwaltet? Warum ist es ein Problem, wenn Websites Kontodetails im Klartext speichern? Und was können Sie dagegen tun?
Was ist Klartext? Warum ist das ein Problem?
Klartext ist genau das, wonach es sich anhört: Ihr Passwort wird genau so gespeichert, wie Sie es notieren.
Angenommen, eine von Ihnen verwendete Website wurde gehackt. Der Hacker hat Zugriff auf eine Liste von Konten mit notierten Passwörtern. Angenommen, Ihr Kennwort lautet "Pa $$ w0rd" (und wir hoffen, dass dies nicht der Fall ist). Der Cyberkriminelle kann die Liste durchsuchen, Ihre E-Mail-Adresse ermitteln und leicht erkennen, dass Ihr "sicheres" Login "Pa $$ w0rd" lautet.
Das große Problem ist, dass es keine Rolle spielt, wie undurchsichtig und unerklärlich Ihr Passwort ist. Denn jeder, der Zugriff auf Ihr Konto hat, kann es lesen, so einfach wie Sie es lesen.
Noch besorgniserregender ist es, wenn Sie auf mehreren Plattformen dasselbe Kennwort verwenden. MakeUseOf rät genau aus diesem Grund davon ab, ebenso wie alle Sicherheitsexperten. Wir verstehen jedoch die Versuchung, an einem Passwort festzuhalten, das leicht zu merken ist.
Wenn Sie dies jedoch tun, riskieren Sie, dass Hacker durchgesickerte Klartextquellen verwenden, um auf Ihre Online-Bankkonten, Ihr Facebook und was auch immer Sie das Passwort duplizieren.
Schätzungsweise 30 Prozent der E-Commerce-Websites speichern ihre Passwörter im Klartext. Das können wir nicht so leicht übersehen.
Es ist auch nicht auf kleine, unabhängige Websites beschränkt. Einige große Unternehmen, darunter NHL, Match.com, LinkedIn, National Trust und Vodafone, wurden aufgedeckt. Glücklicherweise haben sie seitdem sicherere Speichermethoden implementiert.
Wie können Passwörter sicher gespeichert werden?
Was ist die Alternative zu Klartext? Tatsächlich gibt es einige Optionen zum Speichern von Kennwörtern, aber nicht alle sind so sicher, wie es zunächst klingen mag.
Viele Websites verwenden eine Hash-Funktion, die Ihr Kennwort in einen anderen Satz von Ziffern umwandelt. Wenn ein Hacker reinkommt, kann er nur diese zufälligen Charaktere sehen. Dies ist jedoch ein fehlerhafter Algorithmus, da bei jeder Eingabe Ihres Kennworts derselbe Hash generiert wird. Das System stellt dann sicher, dass diese Ziffern übereinstimmen, um Ihnen Zugriff auf Ihr Konto zu gewähren.
Und ja, sie können geknackt werden, insbesondere durch Brute-Force-Angriffe.
Wenn Sie jedoch eine eCommerce-Site betreiben, sollten Sie stattdessen gesalzene Hashes verwenden. Diese basieren auf demselben Prinzip, aber zusätzliche Ziffern kennzeichnen Ihr Kennwort, bevor es in den Hash-Algorithmus eingeht.
Langsame Hashes sind sogar noch besser - sie begrenzen die Häufigkeit, mit der ein Hacker den Datensatz pro Sekunde angreifen kann. Wenn ein Cyberkrimineller weiß, dass es länger dauert, ein Passwort zu knacken, ist es weniger wahrscheinlich, dass er auf das Konto abzielt.
So stellen Sie fest, ob eine Site Kennwörter als Nur-Text speichert
Es ist schwer zu sagen, es sei denn, Sie arbeiten für das betreffende Unternehmen. In diesem Fall müssen Sie Ihr technisches Team darauf hinweisen, dass das Speichern privater Daten im Klartext unethisch ist.
Trotzdem gibt es einen guten Indikator, an dem Sie vorbeigehen können. Wenn Sie ein Konto einrichten und die Site Ihnen eine E-Mail mit Ihrem Passwort sendet, wird dieses wahrscheinlich im Klartext gespeichert.
Sie sind sicherlich unsicher, wenn Sie auf "Passwort vergessen" klicken und sie Ihnen per E-Mail senden. Wenn es verschlüsselt worden wäre, würden sie dies nicht tun können. Stattdessen müssen Sie überprüfen, ob es sich um Ihr Konto handelt, und dann Ihr Kennwort vollständig zurücksetzen.
E-Mails sind sowieso nicht sicher. Sie sind anfällig für Hacking. Auch wenn die Site Ihre Informationen nicht als Klartext speichert, ist das Senden einer detaillierten Nachricht nicht sicher.
Wenn Sie sich eingehend mit Ihren Online-Aktivitäten befassen möchten, verwenden Sie ein Platzhalterkennwort, wenn Sie sich bei einem Online-Shop registrieren. Klicken Sie dann auf "Passwort vergessen" (oder eine Variante davon) und überprüfen Sie Ihre E-Mails. Wenn die einzige Möglichkeit ist, es zurückzusetzen, tun Sie das.
Andernfalls ist dies ein besorgniserregendes Zeichen, wenn Sie Ihr Platzhalterkennwort in Ihrem Posteingang deutlich sehen.
Sie können sich auch Plaintext Offenders ansehen, eine Website, die sich der Hervorhebung von Unternehmen widmet, die Ihre Sicherheit nicht ernst genug nehmen.
Was können Sie dagegen tun?
Wenn Sie vermuten, dass auf einer Website Ihr Kennwort im Klartext gespeichert ist, senden Sie es per E-Mail. Bitten Sie sie, auf Ihre Bedenken einzugehen.
Sie sollten eine Rückmeldung von ihnen erhalten. In diesem Fall versichern sie Ihnen wahrscheinlich, dass sie Verschlüsselung verwenden, um Ihre Daten zu schützen. Aber lassen Sie sich davon nicht abbringen. Glauben Sie nicht dem Mythos, dass Verschlüsselung narrensicher ist. Glauben Sie nicht diesen 5 Mythen über Verschlüsselung! Glauben Sie diesen 5 Mythen über Verschlüsselung nicht! Verschlüsselung klingt komplex, ist aber weitaus einfacher als die meisten denken. Trotzdem fühlen Sie sich vielleicht ein wenig zu dunkel, um die Verschlüsselung zu nutzen. Lassen Sie uns also einige Verschlüsselungsmythen zunichte machen! Weiterlesen .
Ansonsten müssen wir über Schadensbegrenzung sprechen. Verwenden Sie nicht für alles die gleichen Anmeldeinformationen. Wir wissen, dass es verlockend ist, und Sie glauben wahrscheinlich, dass es keinen wirklichen Schaden anrichtet. Aber du liegst falsch. Wir sind sicher, dass eine Firma, die Sie in der Vergangenheit verwendet haben, bereits gehackt wurde. Das könnte MySpace sein. Ihr vergessenes MySpace-Konto leckt alle Ihre Geheimnisse. Ihr vergessenes MySpace-Konto leckt alle Ihre Geheimnisse. Erinnern Sie sich an MySpace? Das soziale Netzwerk, mit dem Sie sich Jahre vor Facebook angemeldet haben ... oh, Sie haben es vergessen? Nun, MySpace hat dich nicht vergessen. Und es könnte alle Ihre privaten Informationen durchgesickert sein. Lesen Sie mehr, Tumblr, Dropbox ... oder eine ganze Reihe von Websites.
Überprüfen Sie dies, indem Sie Ihre E-Mail-Adresse in das Feld "Wurde ich überprüft?" Eingeben.
Sichern Password Manager den Klartext?
Mit Passwort-Managern können Sie Ihre Anmeldeinformationen auf übersichtliche Weise schützen, ohne sich alle merken zu müssen. Sie verwenden ein sicheres Kennwort, um auf den Manager zuzugreifen, der den Rest für Sie kennt.
Sie helfen jedoch nicht dabei, Websites mit Klartext zu bekämpfen. Der Manager ist ein Speichersystem für Ihre Sicherheit, nicht für die Website. Ihre privaten Daten sind weiterhin lesbar, wenn jemand auf Ihr Konto zugreift.
Trotzdem sind Sie eindeutig daran interessiert, Ihre privaten Daten für sich zu behalten, und es gibt definitiv Vorteile, wenn Sie Password Manager verwenden Tolle Features, aber wusstest du davon? Hier sind sieben Aspekte eines Passwort-Managers, die Sie nutzen sollten. Weiterlesen .
Klartext-Passwörter sind nicht sicher!
Klartext bedeutet nur, dass Ihr Passwort genau so gespeichert wird, wie Sie es schreiben. Und das ist ein Problem, weil Hacker es leicht lesen können. Informieren Sie sich unbedingt über das Dumping von Anmeldeinformationen und wie Sie sich schützen können. Was ist das Dumping von Anmeldeinformationen? Schützen Sie sich mit diesen 4 Tipps Was ist Credential Dumping? Schützen Sie sich mit diesen 4 Tipps Hacker haben eine neue Waffe: das Dumping von Berechtigungsnachweisen. Was ist es? Wie können Sie verhindern, dass Ihre Konten kompromittiert werden? Weiterlesen .
Sobald Sie sich auf einer Website registriert haben, sollten Sie bei jeder Begrüßungs-E-Mail, die Sie erhalten haben, kein Passwort angeben. Wenn dies der Fall ist, weist dies darauf hin, dass ein Konto Klartext verwendet. Wenn Sie auf „Passwort vergessen“ klicken und das tatsächliche Passwort per E-Mail an Sie gesendet wird, ist dies ein eindeutiges Zeichen dafür, dass Ihre persönlichen Daten unsicher gespeichert werden.
Betroffen, dass eine Website dies nicht sicher tut? Schicken Sie ihnen eine E-Mail über Ihre Sorgen. Sie könnten Ihnen versichern, dass sie Verschlüsselung verwenden, aber nichts ist unzerbrechlich. Wenn nicht, finden Sie heraus, wie seriöse Websites Kennwörter speichern sollten. Wie schützen Websites Ihre Kennwörter? Wie schützen Websites Ihre Passwörter? Angesichts der regelmäßig gemeldeten Online-Sicherheitsverletzungen sind Sie zweifellos besorgt darüber, wie Websites mit Ihrem Passwort umgehen. In der Tat, für den Seelenfrieden, ist dies etwas, was jeder wissen muss ... Lesen Sie mehr und sagen Sie es ihnen.
Erfahren Sie mehr über: Online-Sicherheit, Passwort.